Big Head Ransomware

นักวิจัยด้านความปลอดภัยได้ระบุแรนซั่มแวร์สายพันธุ์ใหม่ที่เกิดขึ้นใหม่ซึ่งเรียกว่า 'บิ๊กเฮด' ซึ่งสร้างความกังวลเนื่องจากศักยภาพในการสร้างความเสียหายอย่างมากเมื่อดำเนินการอย่างเต็มที่ มีการวิเคราะห์ Big Head หลายเวอร์ชันที่แตกต่างกัน ซึ่งเผยให้เห็นธรรมชาติที่หลากหลายและมีหลายแง่มุม ซึ่งเป็นความท้าทายที่สำคัญสำหรับความพยายามในการลดผลกระทบในอนาคต

นักพัฒนาที่อยู่เบื้องหลัง Big Head แสดงประสบการณ์ในระดับหนึ่ง แม้ว่าพวกเขาจะไม่ได้รับการพิจารณาว่าเป็นผู้คุกคามที่มีความซับซ้อนสูง ความสามารถของพวกเขาในการรวมเอาฟังก์ชันการทำงานต่างๆ ไว้ในมัลแวร์ ซึ่งรวมถึงตัวขโมย ตัวแพร่เชื้อ และตัวอย่างแรนซัมแวร์ เป็นสิ่งที่น่าตกใจอย่างยิ่ง แนวทางแบบหลายแง่มุมนี้ทำให้มัลแวร์มีความสามารถในการก่อให้เกิดอันตรายอย่างมากเมื่อถึงขีดความสามารถในการทำงานเต็มประสิทธิภาพ การป้องกันตัวจาก Big Head กลายเป็นเรื่องท้าทายมากขึ้นเนื่องจากจำเป็นต้องจัดการกับเวกเตอร์การโจมตีแต่ละตัวแยกกัน

ด้วยลักษณะที่ซับซ้อนของ Big Head และศักยภาพในการพัฒนาต่อไป ผู้เชี่ยวชาญด้านความปลอดภัยจึงวิตกเกี่ยวกับความหมายและผลกระทบที่อาจมีต่อระบบเป้าหมาย การออกแบบมัลติฟังก์ชั่นของมัลแวร์ต้องการให้องค์กรและผู้เชี่ยวชาญด้านความปลอดภัยนำวิธีการป้องกันที่ครอบคลุมมาใช้ โดยเน้นไปที่หลายด้านและช่องโหว่พร้อมกัน

ผู้โจมตีใช้โฆษณาปลอมของ Microsoft เป็นเหยื่อล่อ

มีการสังเกตว่า Big Head Ransomware แพร่กระจายผ่านมัลแวร์ซึ่งเป็นโฆษณาที่เสียหายซึ่งปลอมแปลงเป็นโปรแกรมปรับปรุง Windows ปลอมหรือโปรแกรมติดตั้ง Word

เมื่อติดไวรัส Big Head จะแสดงอินเทอร์เฟซผู้ใช้ที่หลอกลวงซึ่งเลียนแบบกระบวนการ Windows Update ที่ถูกต้อง โดยหลอกให้เหยื่อเชื่อว่ากิจกรรมที่เป็นอันตรายนั้นเป็นการอัปเดตซอฟต์แวร์ของแท้

ในตัวอย่างหนึ่งของการวิเคราะห์ Big Head มีการค้นพบไบนารีสามตัว แต่ละอันทำหน้าที่ต่างกันในระบบเป้าหมาย ฟังก์ชันเหล่านี้รวมถึงการเข้ารหัสไฟล์ การปรับใช้บอท Telegram ที่โต้ตอบกับ ID แชทบอทของผู้คุกคาม การแสดง UI อัปเดต Windows ปลอม และการติดตั้งบันทึกเรียกค่าไถ่เป็นไฟล์ Read Me และวอลเปเปอร์

โปรแกรมปฏิบัติการที่รับผิดชอบบอท Telegram ชื่อ teleratserver.exe เป็นไบนารีที่คอมไพล์ด้วย Python 64 บิต คำสั่งปฏิบัติการที่ได้รับการยอมรับ เช่น 'เริ่ม' 'ช่วยเหลือ' 'ภาพหน้าจอ' และ 'ข้อความ' เพื่อสร้างการสื่อสารระหว่างเหยื่อและผู้คุกคามโดยใช้แอปพลิเคชันส่งข้อความ

มีการค้นพบแรนซัมแวร์เวอร์ชัน Big Head ที่มีฟังก์ชันการทำงานเพิ่มเติมแล้ว

ในอีกตัวอย่างหนึ่ง ตัวอย่างที่สองของ Big Head Ransomware แสดงความสามารถเพิ่มเติมสำหรับการขโมยข้อมูล มันรวมมัลแวร์ WorldWind Stealer ซึ่งอำนวยความสะดวกในการรวบรวมข้อมูลประเภทต่างๆ ซึ่งรวมถึงประวัติการเรียกดูจากเว็บเบราว์เซอร์ที่มีอยู่ทั้งหมด รายชื่อไดเร็กทอรีและกระบวนการทำงานบนระบบที่ติดไวรัส สำเนาของไดรเวอร์ และภาพหน้าจอของหน้าจอที่จับภาพหลังจากมัลแวร์ทำงาน

นอกจากนี้ ตัวอย่างที่สามของ Big Head Ransomware ยังมี Neshta ซึ่งเป็นมัลแวร์ที่ออกแบบมาเพื่อกระจายไวรัสโดยการฉีดโค้ดที่เป็นอันตรายลงในไฟล์ปฏิบัติการ นักวิจัยเน้นย้ำว่าการรวม Neshta เข้ากับการติดตั้งแรนซัมแวร์ทำหน้าที่เป็นเทคนิคอำพรางสำหรับเพย์โหลด Big Head Ransomware สุดท้าย การทำเช่นนั้น มัลแวร์สามารถปกปิดธรรมชาติที่แท้จริงของมันและปรากฏเป็นภัยคุกคามประเภทต่างๆ เช่น ไวรัส กลยุทธ์นี้มีจุดมุ่งหมายเพื่อเบี่ยงเบนความสนใจและจัดลำดับความสำคัญของโซลูชันการรักษาความปลอดภัยที่เน้นการตรวจจับแรนซัมแวร์เป็นหลัก

การรวมฟังก์ชันเพิ่มเติมเหล่านี้และการใช้เทคนิคการพรางตัวแสดงให้เห็นถึงความซับซ้อนและความซับซ้อนที่พัฒนาขึ้นของ Big Head Ransomware ด้วยการรวมความสามารถในการขโมยข้อมูลและใช้ประโยชน์จากส่วนประกอบของมัลแวร์อื่นๆ Big Head จึงพยายามรวบรวมข้อมูลที่มีค่า ปกปิดเจตนาที่แท้จริง และอาจหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่มีเป้าหมายหลักคือแรนซัมแวร์